Renforcer définitivement la sécurité ?

[Sephi-Chan]

Exactement, la passphrase est infiniment plus efficace tout en étant triviale à retenir.
Une phrase improbable, avec sa ponctuation : "Les dragons n'existent pas !".

Je ne me soucie pas particulièrement de la sécurité de mon compte bancaire dans la mesure où bloquer le compte en cas de vol se fait facilement et que la protection du compte est du ressort de la banque.


Les smartphone sont des ordinateurs et sont au moins aussi vulnérables, quel que soit l'OS. Et ils le sont d'autant plus qu'ils sont très faciles à voler/perdre et qu'ils ont moult vecteurs d'attaque (ils passent leur temps à se connecter à des réseaux publics, à stocker des tas d'informations, à installer des applications potentiellement malicieuses, etc.).

Note que dès qu'on a un accès physique à l'appareil, les données peuvent être lues avec plus ou moins d'effort. Une partition chiffrée en AES 256 demandera énormément de temps à casser (malgré un matériel et des connaissances adéquates), là où une partition claire sera très rapide à casser.

Certains fichiers (le keychain de Mac OS X ou le logiciel 1Password, par exemple) contenant les mots de passe mémorisés par l'ordinateur sont eux-même chiffrés et requièrent un mot de passe maître. Ces mesures sont rarement utilisées sur un téléphone (même si elles peuvent exister) : les utilisateurs ne sont pas habitués à saisir leurs mots de passes, car ça nuit à l'utilisation.


En fin de compte, une poignée de passphrases sont assez efficaces selon moi.

[Xenos]

L'autre solution consiste à utiliser une image comme mot de passe... Un glisser-déposé du fichier image sur la zone "password" suffirait alors à entrer le pass.

Après, la sécurisation est repoussée à l'ordinateur qui contient le fichier image (si on laisse l'image trainer sur son bureau, y'a pas intéret à laisser son PC à la libre utilisation de tous).

[t.bodeux]

Bon dire qu'éviter la Brute-Force existe est se leurrer un peu ... Il existe mainte façon de camoufler son ip et de la changer en des très court laps de temps ... (pour ceux qui s'y connaisse ^^)

Du coup, le système qu'utilise GW2 est pas si mal, utiliser une application qui génère une clé simple de 4 caractère aléatoire toutes les 20 secondes et qui est unique a un appareil Ce n'est pas si contraignant et vraiment efficace

[Akira777]

@t.bodeux : Je n'ai pas vraiment compris ton idée de changer d'IP.
C'est le compte qui est bloqué durant un certain laps de temps, ce n'est basé sur l'IP.

Exemple, j'ai un compte X. Quand une tentative infructueuse de connexion est faite sur ce compte, je met à jour un champs stockant la date de prochaine connexion. Je me trompe de password, hop, je prend Temps + 10 secondes jusqu'au quel il sera impossible de se connecter (à moins d'avoir le bon mot de passe).
Au bout de 3 essais infructueux, j'affiche un captcha. Toujours en bloquant le temps d'accès, par exemple nombre d'essai x 10 secondes. Au bout de 5 tentatives, tu bloques le compte, et t'envois un mail de déblocage. Une fois débloqué par mail.
Tu proposes le formulaire "mot de passe oublié", ou de se connecter. Si à ce moment là, il y'a encore une erreur. Je bloque le compte avec déblocage manuel par un administrateur.

Donc, tu auras beau changer ton IP, cela ne changera rien. (vu que c'est ni basé sur une IP, ni sur une session).

[Ter Rowan]

coucou

quel est l'intérêt de la capcha au bout de trois essais en erreur ?

On sait déjà que :
- soit on a un utilisateur qui n'arrive plus à se connecter
- soit on a un robot qui cherche à forcer l'entrée
- soit on a un malveillant qui veut pourrir la vie d'un utilisateur (ça on n'en a pas encore parler)


la capcha sert juste à séparer le robot de l'humain, mais dans notre cas, on sait déjà cela

[keke]

BAK > très bon le lien ^^.
Je pense que les 2 mots de passes sont une abération qui n'apporte rien en l'état. Ca n'est pas plus efficace que de mettre les 2 mots de passe l'un à la suite de l'autre lors d'un test de force brute

Après, s'il existait une coréalation sur les mots de passes, ça pourrait peut-être apporter qqch.
Exemple existant, mon code de banque ne me demande de manière aléatoire, que 5 des 12 caractères de mon code. Exemple :
veuillez completer votre mot de passe : XX?X?XX?X?X?
et si je me plante il me demande : X?XX?XX??XX?
l'ordre des ? et des X est changé ...

On peut donc imaginer que, dans un cas à 2 mot de passe (exemple mot de passe 1 : tulipe ; mot de passe 2 : 4371 ) on puisse te demander :
Quel est le caractère du premier mot de passe qui se situe à la position représenté par le carractère X?XX de votre deuxième mot de passe ?
En l'occurence le 2eme mot de passe est X3XX => 3
Le 3eme caractère du premier mot de passe est : l

Je pense qu'ainsi, tu as un système de mot de passe simple à retenir par l'humain (un mot + un code à quelques chiffres) et difficile en force brute.

kéké

[Akira777]

coucou

quel est l'intérêt de la capcha au bout de trois essais en erreur ?

On sait déjà que :
- soit on a un utilisateur qui n'arrive plus à se connecter
- soit on a un robot qui cherche à forcer l'entrée
- soit on a un malveillant qui veut pourrir la vie d'un utilisateur (ça on n'en a pas encore parler)


la capcha sert juste à séparer le robot de l'humain, mais dans notre cas, on sait déjà cela

L'intérêt d'un captcha au bout de 3 erreurs est simplement pour être "sûr" d'avoir à faire à un humain. Je ne peux définitivement pas me baser sur des intervalles de temps pour le faire (sachant qu'un bot est capable d'attendre, ou de bruteforcer de manière non-périodique). Le captcha lève le doute. Et puis dans les esprits, ça rassure en tant qu'utilisateur simple, non-développeur qui croit tous les mythes urbains de l'internet, de voir qu'il y'a une certaine "pseudo-sécurité".
Après c'est un choix, cela fait partie d'une politique de sécurité comme une autre. Parfois l'utilisateur ne se souvient pas de son password du premier coup, au moins, il peut faire trois essais sans qu'on le fasse chier, après captcha, puis mail, puis déblocage manuel. Si les tentatives s'arrêtent au captcha ou au mail, on peut à coup sûr savoir que c'était un brute force et peut-être sortir une IP à bannir des logs.

[keke]

>> Si les tentatives s'arrêtent au captcha ou au mail, on peut à coup sûr savoir que c'était un brute force et peut-être sortir une IP à bannir des logs.

Ou que le type a essayé de ce connecter d'un endroit où il n'a pas accès à son mail. ça existe aussi ... (vu le nombre de fois où j'ai reseté mon mot de passe sur le forum jeuweb.org)

kéké

[Akira777]

@keke : oui, mais il devra de toute manière utiliser ce mail pour réactiver son compte. Donc si je vois que l'utilisateur à réactivé son compte via le mail, je peux en déduire que les tentatives passées sont bien parce qu'il s'est planté lui-même.
Et puis dans ce mail, l'utilisateur se voit confronté à deux choix par lien :

Code :

Votre compte a été bloqué à la suite de trois tentatives infructueuses de connexion, les informations suivantes ont été enregistrées :
Date - Adresse IP - Navigateur - Système d'exploitation

Procédure de déblocage du compte :
- Je me suis trompé de mot de passe et souhaite débloquer mon compte : Je me connecte et débloque mon compte.
- Je ne me suis pas trompé de mot de passe récemment : Je ne suis pas à l'origine de se blocage et souhaite changer mon mot de passe.

[Argorate]

BAK > très bon le lien ^^.
Je pense que les 2 mots de passes sont une abération qui n'apporte rien en l'état. Ca n'est pas plus efficace que de mettre les 2 mots de passe l'un à la suite de l'autre lors d'un test de force brute

kéké

Dans l'absolue tout ce que vous dites est juste, même l'idée de la phrase, sauf que ma réflexion n'était pas pour ceux qui ont déjà des mega mot de passes évidement...

Le truc, c'est qu'on constate que c'est comme ça... les humains préfèrent mettre des mots de passe relativement court et facile a retenir, du coup oui deux mots de passe c'est pareil que la concaténation des deux, sauf que non !

Pour l'utilisateur c'est pas du tout pareil: Dans un cas l'utilisateur le fais, dans l'autre pas...
Et oui! c'est là qu'est la vrai idée en fait. Si on était intelligent (ça se saurait :p), effectivement on aurait un seul passe très long, sauf qu'on mémorise mieux des mots plus court et qu'on connait (même si c'est très bête en terme de sécurité).

Donc si tu obliges via la présence "physique" d'un deuxième champs dans un formulaire, à renseigner un second mot de passe, alors tous les utilisateurs seront obligé d'utiliser ce principe d'association de deux mots (qui dans l'idéal n'ont pas de lien sémantique entre eux) et devront les taper.

Ensuite pour le cas du "ils vont mettre le même", il suffit de l’interdire en le vérifiant (et pas juste un "==", on peut faire une comparaison pour voir la similarité des mots de passe, pour pas que ce soit "toto" et "toto2", c'est facile a faire).

Donc avec cette interdiction combiner a une taille minimal exigé, le fait de mettre deux mots de passe doublerait donc la taille de tout les mots de passe de tout le monde, alors qu’espèrer que les gens vont mettre un mot de passe long est juste illusoire.

Alors certes, pour les gens intelligent, ça va leur faire chier, car ils n'en ont pas besoin, sauf que malheureusement, c'est loin d’être la majorité, donc vaut mieux embête une minorité et augmenter la sécurité général que de ne rien faire.

Je finirais enfin en disant qu'il n'y a rien de pire que les captcha (des fois je met vraiment lgt avant d'arriver à valider, tant certains sont illisible même pour un humain! Et en plus des bots arrivent a passer outre, mais c'est pas le sujet)

Niveau "chiant" je préfère 100 fois deux mots de passes a taper... c'est bien plus rapide

Vilou